블랙덕, 한국 AI 전환 노린다 — AI-BOM·스니펫 분석으로 EU CRA 대응 지원

• 오픈소스 보안 솔루션 기업 블랙덕(Black Duck)이 한국 시장 진출을 본격화한다고 선언
  • 옌 청(Yen Cheong) 블랙덕 APAC 총괄이 21일 경기도 과천에서 기자간담회를 열고 공표
  • 25년간 쌓은 OSS 보안 테스팅 역량으로 한국 기업/정부의 AI 전환을 지원하겠다는 복안

블랙덕이 내세운 4가지 차별점

• 전 세계 최대 규모 오픈소스 소프트웨어 데이터베이스 보유
• 독점 AI 엔진 '컨텍스트 AI(Context AI)'
• 스니펫 분석 — 코드 조각 단위로 라이선스/보안 이슈 식별
• AI-BOM(AI 구성 명세서) 및 공급망 리스크 거버넌스

한국 시장을 노리는 이유

• 블랙덕은 2011년부터 한국 진출 중. 현대, 삼성, LG 등 하이테크 제조사 + 한국인터넷진흥원(KISA)과 파트너십 보유
  • 가트너 애플리케이션 보안 테스트 분야 8회 연속 리더 선정
• 한국 시장 2가지 목표
  • AI 전환을 위한 LLM 및 AI 코드의 안전한 개발·사용 지원
  • 첨단 기술 및 소프트웨어 산업 규정 준수 지원

• 옌 청 총괄 曰 "블랙덕의 혜택을 한국 시장에 제공함으로써 많은 조직의 AI 전환 달성을 지원하겠다"
  • 핵심 메시지는 "보안이 안전하게 갖춰진 상태에서 개발 사이클이나 AI 전환을 이룰 수 있게 지원"

---

기술 맥락

블랙덕이 강조하는 AI-BOM(AI Bill of Materials) 은 요즘 기업 보안의 핫한 주제예요. 기존 SBOM이 "내 소프트웨어에 어떤 오픈소스 컴포넌트가 들어갔는지" 목록이라면, AI-BOM은 "내 AI 시스템에 어떤 모델/데이터셋/라이브러리가 들어갔는지"를 추적하는 명세서거든요. LLM 호출 하나에도 파인튜닝 모델, 임베딩 모델, 프롬프트 템플릿, 외부 API가 줄줄이 엮이는데, 여기서 하나라도 취약점이 터지면 전체가 흔들려요.

EU CRA가 9월부터 본격 시행되면 디지털 요소가 포함된 제품을 EU에 수출할 때 보안 취약점 패치 의무, 소프트웨어 공급망 투명성, 사고 보고 의무가 필수가 돼요. 한국 제조사들이 IoT/자동차/전자기기에 소프트웨어를 넣어 수출하는 구조라 컴플라이언스 부담이 어마어마해요. 블랙덕이 노리는 포지션이 바로 이 틈새예요.

'스니펫 분석'은 오픈소스 라이선스 컴플라이언스에서 중요한 기술이에요. 개발자가 Stack Overflow에서 코드 몇 줄 복사해오면 그게 GPL 라이선스였을 수도 있거든요. 파일 단위가 아니라 코드 조각 단위로 탐지해야 이런 숨은 위험을 잡아낼 수 있어요. AI 코드 생성이 일상화되면서 "이 AI가 내뱉은 코드가 실은 학습 데이터의 GPL 코드 복제본이었다"는 케이스가 실제로 터지고 있어서, 앞으로 더 중요해질 영역이에요.